Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27021:2017 — 信息安全管理体系专业人员能力要求
信息安全管理体系专业人员的能力要求
ISO/IEC 27021:2017 规定了从事信息安全管理体系(ISMS)活动的专业人员的能力要求——包括基于 ISO/IEC 27001 规划、实施、维护、审核和改进 ISMS。它为 ISMS 从业者所需的知识、技能和个人素质建立了基准,并为组织评估和培养内部安全人才提供了框架。
ISO/IEC 27021 是 ISO/IEC 27001(做什么)和 ISO/IEC 27003/27002(怎么做)的”谁来做”的补充。它回答了一个关键问题:运行您 ISMS 的人员实际上应该具备什么资格?
1. 能力框架结构
该标准从四个维度定义能力:知识、技能、个人素质和资格。它认识到 ISMS 专业人员在从初级从业者到高级顾问和审核员的不同层面工作,并在每个层面规定了逐步深入的能力要求。
| 能力维度 | 描述 | 示例 |
|---|---|---|
| 知识(K) | 对 ISMS 概念、标准和方法论的理论和事实理解 | 了解 PDCA 循环、风险评估方法、ISO/IEC 27001 条款要求、控制目标 |
| 技能(S) | 应用知识有效执行 ISMS 任务的能力 | 风险识别引导、政策起草、安全控制选择、内部审核执行 |
| 个人素质(P) | 有助于专业绩效的行为特征 | 分析思维、道德判断、沟通清晰度、利益相关者管理、注重细节 |
| 资格(Q) | 正式认证、教育和专业经验 | ISO/IEC 27001 主任审核员认证、CISSP、CISM、相关大学学位、信息安全从业年限 |
能力框架是层次化的。该标准定义了适用于所有 ISMS 角色的核心能力单元,并辅以针对特定角色的补充单元,如风险评估、内部审核、管理评审引导和事件响应协调。
2. 特定角色的能力要求
ISO/IEC 27021 将能力单元映射到特定的 ISMS 角色,确保每个角色都有明确的验收标准:
| 角色 | 核心知识领域 | 所需关键技能 | 建议经验 |
|---|---|---|---|
| ISMS 经理 | 27001 标准、风险管理、ISMS 架构、审核原则 | 项目管理、政策制定、跨职能领导力 | 3-5 年信息安全领域及 ISMS 实施经验 |
| 风险评估师 | 风险方法论(定量/定性)、威胁建模、控制映射 | 引导、分析推理、文档编写、风险沟通 | 2-4 年并有明确的风险评估业绩记录 |
| 内部审核员 | 审核原则(ISO 19011)、ISO/IEC 27001 条款、证据收集 | 访谈、观察、报告编写、不符合项分类 | 40+ 小时审核培训 + 4 次完整监督审核 |
| 安全控制实施者 | 附录 A 控制、技术安全解决方案、安全架构 | 技术实施、配置管理、集成测试 | 3+ 年 IT 安全运营或工程经验 |
| ISMS 顾问 | 完整 ISMS 生命周期、业务连续性、法律/监管背景、行业最佳实践 | 战略咨询、差距分析、修复规划、利益相关者影响 | 7+ 年并有多个完整 ISMS 实施项目经验 |
一个结构良好的能力矩阵具有双重作用:它帮助个人规划其职业发展路径,并帮助组织识别其安全团队的技能差距。最好的 ISMS 项目将能力管理直接整合到其人力资源绩效管理系统中。
3. 能力评估与持续发展
该标准强调能力不是静态属性。ISMS 专业人员必须不断更新其知识和技能,以应对不断演变的威胁、变化的监管环境和进步的技术。ISO/IEC 27021 建议结合多种评估方法:
- 正式考试:针对定义的能力单元进行客观知识测试,通常通向认证。
- 工作产品审查:评估实际交付物,如风险评估报告、SOA 文件、安全策略和审核报告。
- 观察表现:直接观察专业人员执行 ISMS 活动,如陪同审核或观察风险评估研讨会。
- 持续专业教育(CPE):通过课程、会议、网络研讨会和自学进行持续学习,以每年 CPE 学分计量。
ISMS 能力管理中的一个常见陷阱是仅依赖认证作为能力的替代指标。持证专业人员可能通过了考试,但缺乏实际经验或对特定行业背景的理解。ISO/IEC 27021 强调需要通过多种评估途径证明能力。
对于工程团队,能力框架可以通过技能矩阵来操作化。每位团队成员的当前和目标能力水平将对照能力单元进行映射,形成团队优势和差距的可视化表示。这直接为培训预算、招聘计划和项目资源配置决策提供依据。
4. 常见问题解答
问:ISO/IEC 27021 是个人认证标准吗?
答:不直接是。ISO/IEC 27021 提供了能力要求框架。认证机构(如 PECB、BSI、IRCA)将其作为制定个人认证方案的基础,但该标准本身不颁发证书。
答:不直接是。ISO/IEC 27021 提供了能力要求框架。认证机构(如 PECB、BSI、IRCA)将其作为制定个人认证方案的基础,但该标准本身不颁发证书。
问:ISO/IEC 27021 与 ISO/IEC 27006 有何关系?
答:ISO/IEC 27006 规定了审核和认证组织是否符合 ISO/IEC 27001 的认证机构的要求。ISO/IEC 27021 规定了个人 ISMS 专业人员的能力要求。它们服务于不同的范围:组织认证与个人认证。
答:ISO/IEC 27006 规定了审核和认证组织是否符合 ISO/IEC 27001 的认证机构的要求。ISO/IEC 27021 规定了个人 ISMS 专业人员的能力要求。它们服务于不同的范围:组织认证与个人认证。
问:ISMS 团队的所有成员都需要遵守 ISO/IEC 27021 吗?
答:该标准建议组织将其用作能力评估的基准,但对于 ISMS 运营并非强制要求。不同规模和成熟度的组织可以按比例采用——5 人创业公司的 ISMS 团队与 50 人的企业团队会有不同的能力需求。
答:该标准建议组织将其用作能力评估的基准,但对于 ISMS 运营并非强制要求。不同规模和成熟度的组织可以按比例采用——5 人创业公司的 ISMS 团队与 50 人的企业团队会有不同的能力需求。
问:ISO/IEC 27021 是否涵盖网络安全技术技能(如渗透测试、SOC 分析)?
答:它侧重于 ISMS 管理能力,而非深入的网络安全技术技能。技术专家的能力由其他标准解决——例如,网络安全的 ISO/IEC 27033 系列或网络安全从业者技能的 ISO/IEC 27032。
答:它侧重于 ISMS 管理能力,而非深入的网络安全技术技能。技术专家的能力由其他标准解决——例如,网络安全的 ISO/IEC 27033 系列或网络安全从业者技能的 ISO/IEC 27032。
